Txm v0.01
------------------------------------------------------------------------------

[0x01简介]

  Txm是一个win平台的Anti-Bootkit工具，很简单还不完善。

  Txm提供简易的自动修复bookit感染的功能，目前能修复一些流行bootkit病毒（Sinowal...）。
  
  Txm针对MBR感染，提供了3个不同的等级功能，目前能处理较复杂的MBR变化类病毒。

  注意：Txm仅是修复Bootkit抢先启动部分,病毒的衍生文件及非活性文件请用杀毒软件清理。
        目前仅支持WINXP SP2/SP3 

[0x02使用方法] 
      
  /a 自动检测并修复Bootkit感染数据                                
  /c 检测Windows内核是否被bootkit修改                            
  /m 查看当前MBR数据	                                            
  /i 备份当前MBR数据	                                            
  /e 退出程序                                                     
  /r path 恢复指定路径下的MBR文件到磁盘主引导区                 
  /d address size 查看实模式系统内存数据,范围(0x00000 ~ 0xfffff)   
  /b address size 备份指定地址下的数据 
    
  ------------------------------------------------------------------------------
  /a ：该选项主要自动修复内核被hookd的钩子及相关的MBR数据，等级3的修复方式较危险，
  建议您用 /i 命令备份当前系统的MBR文件,以防修复发生错误造成的损失。

  /c : 提供查看系统内核是否被修复，当然这个检测仅是针对bookit病毒破坏的地方。

  /m : 显示当前系统的MBR数据。但该显示的数据并不一定为真，当系统内核被修改后病毒会
  伪造假的MBR数据欺骗用户。所以建议您用 /c 命令查看内核是否被修复。

  /i : 备份当前系统的MBR数据，用于以后恢复。
       txm会在程序当前目录生成一个mbr.bin的文件

  /e : 退出当前程序

  /r : 恢复一个指定文件为MBR数据，当MBR被破坏时，您可以用已有的备份文件来恢复。
       例如 /r c:\mymbr.bin，这样就可以将MBR数据导入磁盘引导区中。
       

  /d : 显示系统实模式下的内存数据，这里您或许会查到不少bootkit的痕迹。
       例如 想查看实模式中断向量表，比如int 13
       /d 0x4c 16
       查看BIOS数据区，
       /d 0x400 256
       
  /b : 备份一块指定的实模式内存数据到文件中，提供后续分析之用。
       例如想备份bios数据区,
       /b 0x400 256 
       txm会在当前程序目录下生成physical_memory_0x00000400_0x00000100.bin文件。
     
    
[0x3其它]

  由于Txm编写过程中的的不完善及缺少必要强度的测试，它一定存在bug，如果您对它感兴趣并
  且发现了bug，希望您能把bug信息发送给(neineit_at_gmail.com),继续完善Txm。

  下载地址(download):http://www.vxjump.net/downfile/txm.zip
   http://www.vxjump.net/files/a_page/4/code1.htm
  
thanks all.